Sipas një raporti pas vdekjes të publikuar nga ekipi në kanalin zyrtar Discord të projektit më 17 shkurt, grumbulluesi i shkëmbimit shumë zinxhirësh Dexible është komprometuar nga një shfrytëzim dhe si pasojë e drejtpërdrejtë, është vjedhur bitcoin me vlerë 2 milionë dollarë.
Që nga 17 shkurti, ora 6:35 pasdite UTC, pjesa e përparme e Dexible shfaq një paralajmërim kërcyes rreth hakimit sa herë që përdoruesit e vizitojnë atë.
Ekipi tha në orën 6:17 të mëngjesit UTC se kishte gjetur "një hak të mundshëm në kontratat Dexible v2" dhe po shqyrtonte çështjen në atë kohë. Një deklaratë e dytë u lëshua rreth nëntë orë më vonë, në të cilën thuhej se kompania tani e dinte se "2,047,635.17 dollarë u shfrytëzuan nga 17 adresa tregtare". 4 në mainnet, 13 në arbitrum.”
Një raport pas vdekjes u sigurua si një skedar PDF në orën 4:00 UTC dhe u vu në dispozicion në Discord. Ekipi tha gjithashtu se "aktualisht ishte duke punuar në një plan riparimi".
Organizata deklaroi në raport se u bë e vetëdijshme se diçka nuk shkonte kur një prej themeluesve të saj kishte transferuar nga portofoli i tij asete kripto me vlerë 50,000 dollarë për arsye që ishin të paqarta në atë kohë. Arsyet për këtë lëvizje ishin të panjohura në atë kohë. Pas hetimit të tyre, ekipi arriti në përfundimin se një kundërshtar kishte përdorur veçorinë selfSwap të aplikacionit për të vjedhur kriptomonedhë me vlerë pothuajse 2 milionë dollarë nga përdoruesit që kishin dhënë më parë leje që programi të transferonte argumentet e tyre.
Përdoruesit ishin në gjendje të bënin një shkëmbim të një token me një tjetër duke përdorur funksionin selfSwap, i cili u kërkonte atyre të jepnin adresën e një ruteri dhe të dhënat e thirrjeve të lidhura me të. Megjithatë, kodi nuk përfshinte një listë të ruterave që tashmë ishin shqyrtuar dhe autorizuar. Për të zhvendosur argumentet e përdoruesve nga kuletat e tyre në kontratën inteligjente të sulmuesit, sulmuesi përdori këtë metodë për të drejtuar një transaksion nga Dexible në secilën kontratë token. Kontratat e tokenit nuk i ndaluan këto transaksione potencialisht të rrezikshme pasi ato erdhën nga Dexible, të cilit përdoruesit tashmë i kishin dhënë leje për të përdorur argumentet e tyre.
Pas marrjes së argumenteve në kontratën e tyre inteligjente, sulmuesi i tërhoqi monedhat duke përdorur Tornado Cash dhe i vendosi në kuletat BNB (BNB) për të cilat ata nuk ishin në dijeni.
Ekzekutimi i kontratave të Dexible është ndalur dhe kompania ka kërkuar që përdoruesit të tërheqin autorizimet e tyre simbolike për kontrata të tilla.
Praktika e zakonshme e autorizimit të miratimeve token për shuma të mëdha ndonjëherë mund të çojë në humbje për përdoruesit e kriptomonedhave për shkak të kontratave me probleme ose të drejtpërdrejta me qëllim të keq. Si rezultat, disa ekspertë të industrisë këshillojnë përdoruesit që të revokojnë rregullisht miratimet në mënyrë që të mbrohen nga dëmtimi i mundshëm financiar. Për shkak se pjesët e përparme të shumicës së aplikacioneve Web3 nuk i lejojnë përdoruesit në mënyrë eksplicite të ndryshojnë numrin e shenjave të dhëna, përdoruesit shpesh humbasin të gjithë bilancin e tyre të tokenit nëse zbulohet se një aplikacion ka një problem sigurie. Edhe pse MetaMask dhe kuletat e tjera janë përpjekur ta zgjidhin këtë problem duke u mundësuar përdoruesve të ndryshojnë miratimet e tokenit gjatë procesit të konfirmimit të portofolit, shumica e përdoruesve të kriptomonedhave janë ende të painformuar për pasojat e mundshme të mospërdorimit të këtij funksioni.
Burimi: https://blockchain.news/news/2-milion-worth-of-cryptocurrency-lost-in-dexible-hack